* À ce sujet, ça serait pas mal que lafibre.info se dote d'un certificat TLS (on peut en obtenir gratuitement).

Tu pourrais m'en dire plus ?

Pour moi si on ne payait pas on se retrouve avec les messages du navigateur qui prévient qu'on est sur un site sécurisé suspect, le navigateur demande d'autoriser le certificat après lecture d'un long message qui décourage 90% des personnes.

Proposer LaFibre.info en https me semble tout à fait réalisable.

Plusieurs associations à but non lucratif se sont montées de par le monde afin de devenir autorités de certification.
Elles distribuent des certificats gratuitement (sous certaines conditions).

C'est par exemple le cas de http://www.cacert.org.

La seule "grosse" contrainte avec eux, c'est la durée de validité réduite du certificat (6 mois), mais rien n'empêche de le renouveler.

J'ai sauté le pas du ssl sur mon serveur a la maison la semaine dernière: https://15-sign.15-cloud.fr.

Le certificat de 3 ans m'a coûté $23 chez www.CheapSSL.com qui revendent des Certificat Comodo pour une fraction du prix sur le site Comodo .

J'ai eu mon certificat en ~15 minute et il est parfaitement accepter sur firefox, IE8, Chrome etc.

Pour moi si on ne payait pas on se retrouve avec les messages du navigateur qui préviens qu'on est sur un site sécurisé suspect, le navigateur demande d'autoriser le certificat après lecture d'un long message qui décourage 90% des personnes.

Pas un site "suspect", un site qui envoie un certificat TLS qui n'est pas validé par le client TLS dans sa configuration actuelle parce

• (a) le certificat n'est en lui-même pas acceptable
  - il est mal-formé, illisible (grossière erreur de configuration, très rare)
  - il utilise une clé très faible (que le client TLS est configuré pour refuser)
  - le certificat a expiré, ou bien il sera valide dans le futur (= problème d'horloge)
  - le certificat n'indique pas le nom de domaine du site visité (grosse bourde qui arrive parfois à des grosses boites, dont Google)
  
• (b) le certificat ne peut pas être vérifié :
  
  • le certificat n'est pas signé du tout (très très rare)
  • le certificat est signé, mais la signature n'est pas vérifiable parce que le certificat qui l'atteste est :
    - toutes les raisons citées en (a) de non-validité d'un certificat
    - le certificat qui signe le certificat du site n'est pas autorisé à signer un certificat (n'est pas une autorité de certification)
    - l'algorithme de signature n'est pas supporté par le client
    - la racine de la chaine de certificats n'est pas vérifiable : la racine n'est pas un CA appartenant au magasin de certificats racines
    
  • le certificat est positivement valide, mais il est révoqué par son CA
    
  • l'existence d'une révocation d'un des certificats n'est pas vérifiable parce que le serveur de statut de révocation du CA :
    - n'est pas joignable (souvent le cas derrière un portail captif!)
    - renvoie une erreur
    et le client est configuré pour vérifier la révocation des certificats (c'était le cas par défaut pour Firefox, ce n'est plus le cas sur les versions récentes)
    et le client est configuré pour traiter l'impossibilité de vérifier la révocation comme une cause de certificat invalide (pas le cas par défaut pour Firefox)
    

La vérification devrait être récursive : chaque certificat intermédiaire devrait être vérifié comme le certificat du site, y compris l'existence d'une révocation. En pratique ce n'est pas fait pour une question de performance.

J'ai mis en place un certificat auto-signé : https://lafibre.info